技術領域

本發明涉及一種在移動通信的長期演進（簡稱LTE）系統中，提出了一種新的鑒權架構和鑒權流程，從而實現更安全的通信的方法。?

背景技術

LTE/SAE項目是3G的演進，始于2004年3GPP（3^rd?Generation?Partnership?Project，第3代合作伙伴計劃）的多倫多會議。LTE是3G與4G技術之間的一個過渡，是3.9G的全球標準。（注：本專利中出現的術語、英文縮寫和函數，如無特殊說明，均可認為來自3GPP系列協議）。

為了適應網絡的全IP化和扁平化的演進趨勢，LTE網絡將RRC（Radio?Resource?Control，無線資源控制）功能放在eNode?B（Evolved?Node?B，演進的Node?B）中。與UMTS網絡相比，LTE更加分布化，AS（Access?Stratum，接入層）層和NAS（Non-Access?Stratum，非接入層）層分布在不同的網絡實體。由于這種成本日益低廉化、小型化的無線基站會大量部署，各個AS層之間及AS層和NAS層之間在地理和邏輯上都處于分離化狀態，位于安全域的核心網實體難以為接入網絡提供安全保護，LTE網絡主要面臨以下安全方面的問題。

（1）由于eNode?B部署于非安全域，且地理位置分散，一旦eNode?B被攻破，攻擊者可以利用攻破的eNode?B對核心網的MME（Mobile?Management?Entity，移動管理實體）和S-GW（Serving?Gate?Way，服務網關）進行攻擊，也可以利用它對其他eNode?B和UE（User?Equipment，用戶設備）進行攻擊。

（2）UE開機注冊或初次加入網絡，或因特殊情況需要，網絡無法恢復出UE的IMSI（International?Mobile?Subscriber?Identity，全球移動用戶惟一標識）時，UE將以明文發送IMSI，易被截獲。

（3）UE和HSS（Home?Subscriber?Server，歸屬用戶服務器）需要長期共享密鑰K，一旦泄露，攻擊者可以輕而易舉地獲得機密通信的密鑰，從而截獲用戶數據，將對用戶產生不可估量的損失。

發明內容

本發明的目的是：提出一種在LTE中使用的鑒權方法。

本鑒權方法，包含以下步驟：

（1）UE向eNode?B發起附著請求a及網絡選擇指示，消息包含TMSI（Temporary?Mobile?Subscriber?Identity，臨時移動用戶唯一標識）/IMSI、UE能力、UE的身份——由HSS中的ASE（Authentication?Service?Entity，鑒別服務實體）頒發，以及PDN（Packet?Data?Network，分組數據網）地址等參數。

（2）eNode?B根據TMSI/IMSI和網絡選擇指示推導得到MME，并生成附著請求b，它包含UE能力、UE的身份、eNode?B的身份——由HSS中的ASE頒發，以及PDN地址等參數。

（3）eNode?B發送附著請求b到MME。

（4）MME生成鑒權請求，消息包含TMSI/IMSI、SNID（Server?Network?Identity，服務網標識）、Network?Type（網絡類型）、UE的身份及eNode?B身份等參數。

（5）MME發送鑒權請求到HSS。

（6）HSS用SNID對UE所在的服務網絡進行驗證。若驗證失敗，則拒絕該消息。若驗證通過，則HSS中的ASE分別對UE及eNode?B的身份進行驗證，然后生成計數值SQN_HSS（由HSS中的計數器產生）和隨機數RAND，同時產生一個或一組鑒權向量AV（Authentication?Vector，鑒權向量），它包括參數RAND、AUTN(Authentication?Token，鑒證令牌)、XRES（通過和用戶返回的RES比較來達成密鑰協商的目的）和密鑰K_ASME（用來產生非接入層和接入層密鑰的總密鑰）。完成這些過程之后，HSS生成鑒權響應，它包含鑒權向量和ASE對UE的身份及eNode?B身份驗證的結果。

（7）HSS發送鑒權響應到MME。